Zoom hat außerplanmäßige Sicherheitsupdates veröffentlicht, die die kritische Schwachstelle CVE-2026-53412 mit einem CVSS-Score von 9.8 in der Produktlinie Zoom Workplace für Windows beheben. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, über Netzwerkzugriff ein Benutzerkonto zu übernehmen – ohne jegliche Interaktion seitens des Opfers. Betroffen sind Zoom Desktop Client, Zoom VDI Client und Zoom Meeting SDK für Windows. Neben der kritischen Schwachstelle hat das Unternehmen drei weitere Schwachstellen mit hoher Schwere im Zusammenhang mit Privilegienerweiterung behoben. Alle Organisationen, die Zoom unter Windows einsetzen, müssen ihre Clients umgehend auf die aktuellen Versionen aktualisieren.
Kritische Schwachstelle: CVE-2026-53412
Laut dem Sicherheitsbulletin von Zoom (ZSB-26014) liegt die Root Cause der Schwachstelle in einer fehlerhaften Validierung von Eingabedaten (Improper Input Validation). Für die Ausnutzung ist keine Authentifizierung erforderlich: Ein Angreifer kann den Angriff aus der Ferne über Netzwerkzugriff durchführen, was den maximal hohen CVSS-Score von 9.8 erklärt. Das Ergebnis einer erfolgreichen Ausnutzung ist die vollständige Übernahme des Benutzerkontos (Account Takeover).
Die Schwachstelle betrifft drei Produkte:
- Zoom Desktop Client für Windows
- Zoom VDI Client für Windows
- Zoom Meeting SDK für Windows
Die Kombination aus fehlender Authentifizierungspflicht, Netzwerkangriffsvektor und kritischer Auswirkung macht diese Schwachstelle zu einer vorrangigen Aufgabe für eine sofortige Behebung. Der Eintrag in der NVD (CVE-2026-53412) steht zur Nachverfolgung zur Verfügung.
Drei zusätzliche Schwachstellen mit hoher Schwere
Gleichzeitig hat Zoom drei Schwachstellen behoben, die mit einer Privilegienerweiterung auf lokaler Ebene zusammenhängen:
CVE-2026-53411 – Privilegienerweiterung über VDI Plugin (CVSS 7.8)
Eine Schwachstelle aufgrund fehlerhafter Validierung von Eingabedaten im Zoom Workplace VDI Plugin für Windows in Versionen bis 6.6.14. Ein authentifizierter Benutzer kann seine Privilegien über lokalen Zugriff erweitern. Details finden sich im Bulletin ZSB-26013.
CVE-2026-53410 – TOCTOU-Race-Condition (CVSS 7.0)
Eine Schwachstelle des Typs Time-of-Check to Time-of-Use (TOCTOU) im Installations- und Deinstallationsprozess mehrerer Zoom-Clients für Windows. Ein authentifizierter lokaler Benutzer kann die Race-Condition zur Privilegienerweiterung ausnutzen. Laut Bulletin ZSB-26012 betrifft die Schwachstelle die meisten Produkte:
- Zoom Workplace für Windows – Versionen bis 7.0.5
- Zoom Workplace VDI Client für Windows – Versionen bis 6.5.17 und 6.6.14 (in den jeweiligen Branches)
- Zoom Workplace VDI Plugin für Windows – Versionen bis 6.5.17 und 6.6.14 (in den jeweiligen Branches)
- Zoom Rooms für Windows – Versionen bis 7.0.5
- Remote Control for Zoom Contact Center für Windows – Versionen bis 7.0.0
CVE-2026-53409 – fehlerhaftes Privilegien-Management (CVSS 7.8)
Eine Schwachstelle im Privilegien-Management in Zoom Rooms für Windows in Versionen bis 7.1.0, die es einem authentifizierten Benutzer ermöglicht, über lokalen Zugriff seine Privilegien zu erweitern. Details sind im Bulletin ZSB-26011 verfügbar.
Bewertung der Auswirkungen
Die kritische Schwachstelle CVE-2026-53412 stellt die größte Bedrohung für Unternehmensumgebungen dar, in denen Zoom Workplace auf einer großen Anzahl von Windows-Arbeitsstationen ausgerollt ist. Die Möglichkeit einer Kontoübernahme über das Netzwerk ohne Authentifizierung bedeutet, dass ein Angreifer mit Netzwerkzugriff auf die Zielmaschine potenziell die Kontrolle über das Zoom-Konto erlangen kann – und darüber Zugang zu Unternehmenskommunikation, Meeting-Aufzeichnungen und Kontaktdaten.
Die drei Schwachstellen zur Privilegienerweiterung (CVE-2026-53411, CVE-2026-53410, CVE-2026-53409) erfordern lokalen Zugriff und Authentifizierung, was ihre Kritikalität im Vergleich zu CVE-2026-53412 reduziert. In Szenarien, in denen ein Angreifer jedoch bereits einen ersten Zugriff auf das System erlangt hat, können diese Schwachstellen zur weiteren Eskalation des Angriffs genutzt werden. Besonderes Augenmerk sollten Organisationen mit VDI-Infrastruktur und Zoom Rooms legen – diese Produkte werden häufig in gemeinsam genutzten Umgebungen betrieben.
Keine der vier Schwachstellen ist im CISA-KEV-Katalog gelistet, und zum Zeitpunkt der Veröffentlichung der Bulletins lagen keine Informationen über eine aktive Ausnutzung in realen Angriffen vor.
Empfehlungen zur Behebung
- Aktualisieren Sie umgehend alle Zoom-Clients für Windows auf die aktuellen Versionen: Zoom Workplace auf 7.0.5 und höher, VDI-Komponenten auf 6.5.17 oder 6.6.14 (je nach Branch), Zoom Rooms auf 7.1.0, Remote Control for Zoom Contact Center auf 7.0.0.
- Führen Sie eine Inventarisierung durch aller Zoom-Installationen in der Unternehmensumgebung, einschließlich VDI-Plugins und Meeting SDK, die in Drittanwendungen integriert sein können.
- Priorisieren Sie CVE-2026-53412 als kritisch – CVSS 9.8 und der Netzwerkvektor ohne Authentifizierung machen diese Schwachstelle zu einer Top-Priorität für das Patchen.
- Für Organisationen, die nicht sofort aktualisieren können: Beschränken Sie den Netzwerkzugriff auf Rechner mit verwundbaren Zoom-Versionen mittels Netzsegmentierung und Firewalls.
- Prüfen Sie die Logs auf Anzeichen anomaler Aktivitäten im Zusammenhang mit Zoom-Konten – trotz fehlender Hinweise auf eine Ausnutzung erhöht die Veröffentlichung von Details zur Schwachstelle die Wahrscheinlichkeit für das Auftauchen von Exploits.
Angesichts des CVSS-Scores von 9.8 und der Möglichkeit zur Remote-Exploitation ohne Authentifizierung sollten die Updates für Zoom-Clients unter Windows im Rahmen eines Notfall-Patching-Zyklus eingespielt werden – ohne das nächste reguläre Wartungsfenster abzuwarten. Die aktuellen Versionen können über den Standard-Update-Mechanismus von Zoom oder über unternehmensweite Systeme zum Software-Management bezogen werden.